以前は、圧縮された自己解凍型のアーカイブにマルウェアが含まれていることがよくありました。 Crowdstrike によると、新しい詐欺は次のことを示しています。自己解凍型のアーカイブにはマルウェアは含まれていませんが、Windows で開くとコマンドが実行され、マルウェアが追いつく可能性があります。Crowdstrike によると。
企業の多くの従業員は、ZIP、7zip、WinRAR などのパッカーを使用して、大きなファイルを電子メールでより迅速に転送できるようにしています。 自己解凍アーカイブは、ビジネスの世界でも人気があります。 アーカイブは EXE ファイルで、クリックするだけで解凍できます。 たとえば、Outlook が EXE ファイルを含むメールの添付ファイルをブロックする場合でも、ZIP ファイルを EXE ファイルにプラグインすることは引き続き許可されます。 優れたスキャナーは、XNUMX 重に圧縮されたアーカイブでもマルウェアを検出しました。 その結果、攻撃者は疑いを持たない従業員を罠にかける新しい方法を見つけています。
Emotet は暗号化されたアーカイブを使用します
Emotet では、無害なおとりファイルを含むアーカイブと、別の暗号化されたアーカイブがユーザーに送信されました。 暗号化された部分は検査できないことが多いため、スキャンでは無害なファイルのみが明らかになりました。 アーカイブ内の非表示のパラメーターとコマンドは表示されません。 自己解凍型アーカイブが解凍されると、ツールはパックされたファイルを書き込み、XNUMX 番目の暗号化されたアーカイブを開始します。 パスワードはパラメータを介してこのアーカイブに渡され、Emotet ファイルが解凍されて実行されます。
指揮系統のあるアーカイブ
自己解凍アーカイブ (略して SFX) をクリックして実行すると、コンテンツが抽出されます。 たとえば、マルウェアがシステムに書き込まれた場合、エンドポイント セキュリティ ソリューションは通常、マルウェアを確実に回避します。 ただし、Crowdstrike が検出したアーカイブにはマルウェアはありません。 むしろ、SFX ファイルは、かなり定期的に指定できる一連のコマンドを実行します。 記録された XNUMX つの事例では、レジストリ キーがパラメーターを介して Windows に渡されました。 これは、標準の管理者アカウントよりも高い権限でコマンドを実行できることを意味していました。
Crowdstrike は、これらのトラップが実際にどのように機能するかをブログ投稿に記録し、実際に見つかった例の個々のトラップについて説明しています。
詳しくは Crowdstrike.com をご覧ください
クラウドストライクについて サイバーセキュリティの世界的リーダーである CrowdStrike Inc. は、ワークロードとエンドポイントを保護するために再設計されたプラットフォームにより、クラウド時代のセキュリティを再定義しています。 CrowdStrike Falcon® プラットフォームの無駄のないシングル エージェント アーキテクチャは、クラウド規模の人工知能を活用して、企業全体の保護と可視性を実現します。 これにより、ネットワーク内外のエンド デバイスへの攻撃が防止されます。 独自の CrowdStrike Threat Graph® を使用して、CrowdStrike Falcon は毎日、リアルタイムで世界中の約 1 兆のエンドポイント関連イベントを関連付けます。 これにより、CrowdStrike Falcon プラットフォームは、世界で最も先進的なサイバーセキュリティ データ プラットフォームの XNUMX つとなっています。